Microsoft a averti les utilisateurs d'une vague dangereuse d'attaques de phishing AiTM qui ont déjà touché plus de 10 000 organisations. Les attaques ont lieu depuis septembre 2021 et volent les identifiants de connexion des utilisateurs d'Office 365.

Les attaquants peuvent contourner Office365 MFA

En utilisant des sites Web d'hameçonnage Adversary-in-the-middle (AiTM), les parties malveillantes peuvent contourner le authentification multifacteur (MFA) fonctionnalité utilisée par les utilisateurs d'Office365 en créant une fausse page d'authentification Office365.

Dans ce processus, les attaquants visent à obtenir le cookie de session de la victime via le déploiement d'un serveur proxy entre la cible et le site Web usurpé.

Essentiellement, les attaquants interceptent les sessions de connexion Office365 pour voler les informations de connexion. Ceci est connu comme détournement de session. Mais les choses ne s'arrêtent pas là.

Les attaques AiTM mènent à des attaques BEC et à des fraudes de paiement

instagram viewer

Une fois que l'attaquant accède à la boîte aux lettres de la victime via le site AiTM, il peut continuer à mener des attaques de compromis de messagerie professionnelle (BEC). Ces escroqueries impliquent l'usurpation d'identité du personnel de haut niveau de l'entreprise afin d'inciter les employés à effectuer des actions qui peuvent nuire à l'organisation.

Cela a conduit à de multiples cas de fraude de paiement en accédant aux documents financiers privés de l'organisation cible. La récupération de ces données entraîne souvent le transfert de fonds vers des comptes contrôlés par des pirates.

Dans un long billet sur le blog de sécurité Microsoft, la société affirme avoir "détecté plusieurs itérations d'une campagne de phishing AiTM qui a tenté de cibler plus de 10 000 organisations depuis septembre 2021".

Ces attaques ne sont pas indicatives de la faiblesse de MFA

Bien que cette attaque exploite l'authentification multifacteur, elle n'est pas représentative d'une quelconque inefficacité de la part de cette mesure de sécurité. Microsoft déclare dans son article de blog que c'est parce que "le phishing AiTM vole le cookie de session, le l'attaquant est authentifié à une session au nom de l'utilisateur, quelle que soit la méthode de connexion de ce dernier les usages".

Parce que l'authentification multifacteur peut être si protectrice, les cybercriminels développent des moyens de la surmonter, ce qui en dit plus sur le succès de la fonctionnalité que sur ses mises en garde. Ainsi, cette campagne de phishing ne doit PAS être considérée comme une raison de désactiver MFA sur vos comptes.

Le phishing est une méthode d'attaque effroyablement courante

Le phishing est désormais une méthode d'attaque en ligne effroyablement courante, cette campagne AiTM particulière réussissant à affecter des milliers de parties ignorantes. Bien que cela ne suggère pas une faiblesse de la MFA, cela montre que les cybercriminels développent désormais de nouvelles façons de contourner ces mesures de sécurité.